MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Guida alle informative sul trattamento dei dati per gli Enti locali
DPO in pillole/ Data protection e cybersecurity: analisi sintetica di un altro fondamentale adempimento di accountability

di LUISA DI GIACOMO*

Proseguiamo la consulenza ai Data Protection Officer degli Enti Locali con un altro fondamentale adempimento di accountability: la redazione delle informative.
L’informativa privacy è un documento fondamentale che assolve a un duplice compito:

  1. Da un lato, come dice il suo nome stesso, informa gli interessati, cioè le persone fisiche di cui i dati vengono trattati, dei trattamenti che vengono effettuati, e fornisce tutta una serie di indicazioni essenziali per la tutela dei dati e delle persone che li conferiscono.
  2. Dall’altro lato, costituisce uno strumento di accountability del Titolare, perché redigere una informativa correttamente significa aver bene chiaro il processo di trattamento del dato, e dunque vuol dire che il Titolare del trattamento sa che cosa sta facendo, come lo sta facendo e, verosimilmente, si è quanto meno posto il problema della gestione dati del proprio Comune.

Innanzi tutto, è bene precisare un particolare: si parla sempre di informativa, al singolare, ma sarebbe corretto dire informative, al plurale. Non c’è infatti una sola informativa all’interno di un Ente locale, ma tante saranno quanti sono i trattamenti effettuati, o meglio quante sono le finalità di quel trattamento.
Intendiamo come trattamento qualsiasi operazione venga effettuata sui dati personali: la raccolta, la classificazione, l’utilizzo, la modifica, l’estrazione, la cancellazione sono tutte operazioni di trattamento, che avremo elencato nel Registro dei Trattamenti, documento “master” di accountability di cui abbiamo parlato la settimana scorsa.
Ma un trattamento di dati è lecito solo se ricorrono alcune condizioni particolari, ed in particolare è lecito se e solo se prima del suo inizio è fornita l’informativa ai sensi e per gli effetti dell’art. 13 del Regolamento Europeo per la Protezione dei Dati Personali (Reg. UE 679/2016, GDPR).

>> Leggi anche Guida alla compilazione del registro dei trattamenti per gli Enti locali a prova di sanzione.

Come si fa un’informativa e che cosa deve contenere?

Ci sono alcuni elementi che in una informativa sul trattamento dei dati personali non possono mancare:

  1. I dati di identificazione del Titolare, cioè dell’Ente locale che effettua il trattamento
  2. Il nominativo ed i dati di contatto del DPO: per gli Enti locali la nomina di un DPO è obbligatoria e costui o costei deve essere sempre facilmente contattabile.
  3. Quali tipologie di dati vengono trattati (anagrafici, e-mail, dati appartenenti a categorie particolari eccetera).
  4. Le finalità del trattamento e la base giuridica che rende quel trattamento legittimo. Per gli Enti locali, la base giuridica è sostanzialmente sempre l’esecuzione di un compito di legittimo interesse o l’esecuzione di un obbligo di legge. In ogni caso, gli Enti locali non trattano mai dati personali basandosi sul consenso degli interessati.
  5. Le modalità di trattamento (cartacea o telematica).
  6. I tempi di conservazione: la retention policy, che va anche indicata nel registro delle attività di trattamento, è fondamentale, va scelta e ponderata bene dal Titolare. L’Ente locale tratta dati per obbligo di legge, che per la loro natura vengono conservati per un periodo indefinito.
  7. I soggetti esterni all’organizzazione del Titolare a cui i dati vengono comunicati, o l’eventualità che i dati vengano trasferiti in Paesi terzi al di fuori dello Spazio Economico Europeo.
  8. La natura obbligatoria o facoltativa del conferimento dei dati da parte dell’interessato, che dipenderà dalle finalità per cui i dati vengono raccolti e trattati. Ad esempio, conferire i propri dati per partecipare a un bando di gara sarà del tutto facoltativo, ma il mancato conferimento implicherà l’impossibilità di partecipare al bando. Diversamente, il conferimento dei dati per i servizi demografici o elettorali è obbligatorio.
  9. I diritti degli interessati, che sono quelli specificamente indicati agli artt. 15 e ss. Regolamento UE 2016/679: diritto di ottenere la conferma o meno dell’esistenza di dati personali, diritto di ottenere l’ accesso ai dati personali e di ottenere le informazioni di cui all’art. 15 Regolamento UE 2016/679; diritto di ottenere l’aggiornamento, l’integrazione, la rettifica o la cancellazione dei dati nei limiti previsti dalla normativa; diritto di ottenere la limitazione del trattamento dei dati (nei casi previsti dall’art. 18 Regolamento UE 2016/679); diritto di opporsi al trattamento per motivi connessi ad una situazione particolare (nei limiti previsti dall’art. 21 Regolamento UE 2016/679); diritto alla portabilità dei dati (nei casi previsti dall’art. 20 Regolamento UE 2016/679); diritto di proporre reclamo al Garante (art. 77 Regolamento UE 2016/679).
  10. Le modalità di esercizio dei diritti.

L’informativa deve essere resa con un linguaggio semplice e chiaro, in maniera che sia facilmente comprensibile da chiunque, anche e soprattutto da chi non ha alcuna nozione o conoscenza della normativa: il fatto che la maggior parte delle informative non venga letta dalle persone nell’interesse delle quali sono redatte non esonera il Titolare a scriverle nel modo migliore possibile.

Quali informative deve rendere un Ente Locale

Il numero e la tipologia di informative di un Ente locale, così come il registro dei trattamenti, dipenderà dalla struttura dell’Ente e dai servizi che esso possiede: se per esempio il Comune ha un servizio biblioteca aperto al pubblico, sarà obbligatorio rendere una informativa specifica per questo servizio.
Dunque, e qui si comincia a vedere il primo collegamento tra i vari documenti, che non sono, come già accennato, adempimenti autonomi e fine a se stessi, ma tutti collegati tra loro, anelli di una catena che, una volta terminata, andrà a costituire il perimetro di sicurezza e protezione dei dati dell’Ente, all’interno del quale i dati saranno considerati protetti (ovvero il perimetro di accountability), si procederà così:

In linea generale, possiamo comunque affermare che in qualsiasi Comune debbano essere contenute almeno le seguenti informative:

Altri tipi di informativa dipenderanno dal registro dei Trattamenti volta per volta redatto (ad esempio, mensa scolastica, asili comunali, biblioteche eccetera).

Guida alla compilazione del registro dei trattamenti per gli Enti locali a prova di sanzioneL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

www.lagazzettadeglientilocali.it